2025-11-03
Open VSX Registryが漏洩トークンと悪意のある拡張機能の事件に対応
Open VSX RegistryとEclipse Foundationは、認証トークンの漏洩と悪意のある拡張機能に関する重大なセキュリティ事件に対処しました。セキュリティ研究者が公開リポジトリで開発者トークンの漏洩を発見し、これにより一部のトークンが悪用されたことが確認されました。Open VSXは、影響を受けたトークンを直ちに無効化し、今後の攻撃を防ぐための具体的な対策を講じています。特に、トークンの有効期限を短縮し、自動セキュリティスキャンを導入することで、オープンソースエコシステムの供給チェーンセキュリティを強化する方針です。
メトリクス
このニュースのスケール度合い
5.2
/10
インパクト
6.8
/10
予想外またはユニーク度
7.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
7.2
/10
このニュースで行動が起きる/起こすべき度合い
8.2
/10
主なポイント
- ✓ Open VSX Registryは、漏洩した認証トークンが悪用されたことを確認し、影響を受けたトークンを無効化しました。
- ✓ 新たに導入されたトークンのプレフィックス形式により、公開リポジトリでのトークンのスキャンが容易になります。
社会的影響
- ! この事件は、オープンソースエコシステムにおける供給チェーンセキュリティの重要性を浮き彫りにしました。
- ! 開発者やコミュニティ全体がセキュリティの責任を共有する必要があることが強調されています。
編集長の意見
今回のOpen VSX Registryにおけるセキュリティ事件は、オープンソースエコシステムにおける供給チェーンセキュリティの脆弱性を示しています。開発者トークンの漏洩は、開発者の不注意によるものであり、Open VSXのインフラストラクチャの侵害ではありませんでしたが、結果として悪意のある拡張機能が公開される事態を招きました。このような事件は、開発者が自らのトークン管理に対してより慎重になる必要があることを示唆しています。特に、トークンの有効期限を短縮し、自動セキュリティスキャンを導入することは、今後のリスクを軽減するための重要なステップです。また、他のマーケットプレイスとの協力を強化することで、脅威インテリジェンスの共有が進み、全体のセキュリティが向上することが期待されます。今後は、開発者自身がセキュリティ意識を高め、トークンの管理や公開リポジトリの利用において、より厳格なルールを設けることが求められます。これにより、オープンソースの革新を安全に継続できる環境を整えることができるでしょう。
背景情報
- i Open VSX Registryは、VS Code拡張機能のためのコミュニティ主導のマーケットプレイスであり、開発者が拡張機能を公開・修正するためのトークンを使用しています。最近、これらのトークンが公開リポジトリで漏洩し、悪用される事例が発生しました。
- i セキュリティ企業Koi Securityは、漏洩したトークンを利用して悪意のある拡張機能を公開するマルウェアキャンペーン「GlassWorm」を報告しました。この拡張機能は、開発者の認証情報を盗むことを目的としていました。